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(54) Verfatiren zum Schutz eines Sicherheitsmoduis und Anordnung zur DurchfOiirung des 
Verfalirens 

(57) Die Erf indung betrifft ein Verfahren zunfi Schutz 
eines Sicherheitsmoduis mit ZustandubenA^chung, 
Ubenwachung des sachgemdBen Gebrauchs Oder Aus- 
tausches des Sicherheitsmoduis mrttels einer ersten 
(120). zweiten (12) und dritten Funktionseinhert (13). 
SIgnalisieren mindestens eines Zustandes (220, 230. 
240. 250, 260. 270. 280, 290) gesteuert mittels der 
ersten Funktionseinheit (120) und LOschen von sensiti- 
ven Daten aufgrund eines unsachgemdBen Gebrauchs 
Oder Austausches mindestens mittels der zweiten 
Funktionseinheit (12). Weiterhin ist ein Sperren der 
Funkdonalitdt mittels der dritten Funktionseinheit (13) 
aufgrund eines Austausches des Sicherheitsmoduis, 
Reinltiaiisleren der zuvor gelOschten sensitiven Daten 
nach sachgemaBem Gebrauch oder Austausch des 
Sicherheitsmoduis (100) und Wiederinbetriebnahme 
durch Freischaiten der Funktionseinheiten des Sicher- 
heitsmodules. 

Die Anordnung zur DurchfOhrung des Verfahrens. weist 
Mittel zum Laden mindestens eines von der Datenzen- 
trale vorgegebenen Zeitkredits und eine mit einem 
Signalmittel (107, 108) verbundene erste Funktionsein- 
heit (120) auf, wobei das Laden bei der Installation und 
beim Nachladen in einen Speicher (124) des Sicher- 
heitsgerates vorgenommen wird. und wobei die erste 
Funktionseinheit (120) einen Tageskredit auf Zeitabtauf 
auswertet und das Signalmittel (107, 108) ansteuert. 
mindestens um den Zeitablauf zusignalisieren. Der 
Sicherheitsmodul kann verschiedene Zustdnde signali- 
sieren. So kann beispielsweise unterschieden werden. 
ob der letzte Kontakt zur Datenzentrale sehr lange 
zurQckliegt. 




Primed by Xerax (UK) Buslnoss Services 
2.16.7 <HRS)/3.6 



BNSDOCID:<EP 1035518A2 I > 



1 



EP1 035 518 A2 



2 



Bescbreibung 

[0001] Die Erfindung betrifft ein Verfahren zum 
Schutz eines Sicherheitsmoduls. gemdB der im Ober- 
begriff des Anspruchs 1 angegebenen Art, und eine 
Anordnung zur Durchfuhrung des Verfahrens, gemaS 
der im Oberbegrrff des Anspruchs 10 angegebenen Art. 
Ein solcher postalischer SicherheitsnrKXiul ist ins- 
besondere fur den Einsatz in einer Frankiermaschine 
bzw. Postbearbeitungsmaschine Oder Computer mit 
Postbearbertungsfunktion geeignet. 
[0002] Moderne Frankiermaschinen. wie die aus 
der US 4.746.234 bekannte Thermolransfer-Frankier- 
maschine. setzen eine vollelektronische digitate Druck- 
vorrichtung ein. Damit ist es prinzipiell mOglich, 
beliebige Texte und Sonderzeichen im Frankierstempel- 
druckbereich und ein beliebiges oder ein einer Kbsten- 
stelle zugeordnetes WerbeMischee zu drucken. So hat 
zum Beispiel die Frankiermaschine T1000 der Anmel- 
derin einen Mikroprozessor. welcher von einem gesi- 
cherten Gehduse umgeben ist, das eine Offnung fOr die 
Zufuhrung eines Briefes aufweist. Bei einer BriefzufQh- 
rung Qbermittelt ein mechanischer Briefsensor (Mikro- 
schalter) ein Druckantorderungssignal an den 
l\4ikroprozessor. Der Frankierabdruck beinhaltet eine 
zuvor eingegebene und gespeicherte postalische Infor- 
mation zur BefOrderung des Briefes. Die Steuereinhert 
der Frankiermaschine nimmt eine Abrechnung soft- 
ware ma Big vor, ubt eine Ubenwachungsfunktion ggf. 
bezuglich der Bedingungen fur eine Datenaktualisie- 
rung aus und steuert das Nachladen eines Portwertgut- 
habens. 

[0003] FQr die oben genannte Thennotransfer- 
Frankiermaschine wurde bereits in US 5,606,508 (DE 
42 13 278 81) und in US 5.490,077 eine Dateneingabe- 
mOglichkeit mittels Chipkarten vorgeschtagen. Eine der 
Chipkarten Iddt neue Daten in die Frankiermaschine 
und ein Satz an weiteren Chipkarten gestattet durch 
das Stecken einer Chipkarte eine Einstellung entspre- 
chend eingespeicherter Daten vorzunehmen. Das 
Datenladen und die Einstellung der Frankiermaschine 
kann damit bequemer und schneller ais per Tastaturein- 
gabe erfblgen. Eine Firankiermaschine zum Frankieren 
von Postgut, ist mit einem Drucker zum Drucken des 
Postwertstempels auf das Postgut, mit einer Steuerung 
zum Steuern des Druckens und der peripheren Kbmpo- 
nenten der Frankiermaschine, mit einer Abrechenein- 
heit zum Abrechnen von PostgebOhren. mit mindestens 
einem nichtflQchtigen Speicher zum Speichern von 
Postgebuhrendaten, mit mindestens einem nichtflQchti- 
gen Speicher zum Speichern von sicherheitsrelevanten 
Daten und mit einer Kalender/Uhr ausgestattet Der 
nichtflQchtige Speicher der sicherheitsrelevanten Daten 
und/oder die Kalender/Uhr wird gewOhnlich von einer 
Batterle gespeist. Bei bekannten Frankiermaschinen 
werden sicherheitsrelevante Daten (kryptografische 
Schlussel u.a.) in nichtflQchtigen Speichern gesichert 
Diese Speicher sind EEPROM. FRAM oder batteriege- 



sicherte SRAM. Bekannte Frankiermaschinen verfugen 
oft auch Qber eine interne Echtzeituhr (Real Time 
Clock) RTC. die von einer Batlerie gespeist wird. 
Bekannt sind z.B. vergossene Module, die integrierte 

5 Schattkreise und eine Lithium-Batterie enthalten. Diese 
Module mussen nach Ablauf der Lebensdauer der Bat- 
terie im Ganzen ausgetauscht und entsorgt werden. 
Al^ wirtschaftlichen und Okoiogischen Gesichtspunkten 
ist es gQnstiger. wenn nur die Batterie ausgetauscht 

10 werden muB. Dazu muB jedoch das Sicherheitsge- 
hduse geCffnet und anschlieBend wieder verschlossen 
und gesiegelt werden. denn die Sicherheit gegenuber 
Betrugsversuchen beruht im Weserrtlichen auf dem 
gesicherten Gehduse, welches die gesamte Maschine 

75 umschlieBt. Seitens der Anmelderin wurde in EP 660 
269 A2 (US 5.671.146) bereits ein geeignetes Verfah- 
ren zur Verbesserung der Sicherheit von Frankierma- 
schinen vorgeschlagen, in welchem zwischen einem 
authorisierten und unauthorisierten Offnen des Sicher- 

20 heitsgehduses unterschieden wird. 

[0004] Eine eventuell erforderllche Reparatur einer 
Frankiermaschine ist dann vor Ort nur schwer mOglich, 
wenn der Zugang zu den Bauteilen erschwert oder ein- 
geschrdnkt Ist. Bei grOBeren Postverarbeitungsmaschi- 

25 nen oder sogenannten PC-Frankierern wird zukunftig 
das gesicherte Gehduse auf das sogenannte postali- 
sche SicherheitsrrxxJul reduziert werden, was die 
ZugSnglichkeit zu den Qbrigen Bauteilen verbessern 
kann.Zum wirtschaftlichen Austauschen der Batterie 

30 des Sicherheitsmoduls wdre es auBerdem wunschens- 
wert, daB sich diese auf relativ einfachem Wege aus- 
wechsein laBt. Dazu muB sich die Batterie auBerhalb 
des Sicherheitsbereichs der Frankiermaschine befin- 
den. Wenn die Batteriektemmen aber von auBen 

35 zugdnglich gemacht werden, ist ein mOglicher Angreifer 
In der Lage. die Batteriespannung zu manipulieren. 
Bekannte batteriegespeiste SRAM und RTC haben 
bzgl. ihrer geforderten Betriebsspannung unterschiedli- 
che Anfbrderungen. Die notwendige Spannung zum 

40 Halten von Daten von SRAM liegt unterhaib der gefor- 
derten Spannung zum Betrieb von RTC. DaB bedeutet, 
daB ein Verringern der Spannung unter einen bestimm- 
ten Grenzwert zu einem unerwQnschten Verhalten der 
Kbmponenten fuhrt: Die RTC blelbt stehen. die Uhrzeit 

45 - gespeichert In SRAM-Zelien - und die Speicherinhalte 
des SRAM bleit>en erhalten. Wenigstens eine der 
SicherhehsmaBnahmen, beispielsweise Long Time 
Watchdogs, wdren dann auf der Firankiermaschinen- 
seite unwirksam. Unter Long Time Watchdogs wird fol- 

50 gendes verstanden: Die enifernte Datenzentrale gibt 
einen Zeltkredit bzw. eine Zeitdauer, insbesondere eine 
Anzahl von Tagen, oder einen bestimmten Tag vor. bis 
zu welchem sich die Frankiereinrichtung per Kommuni- 
katlonsverbindung mekJen kann. Nach erfolglosen 

55 Ablauf des Zeitkredlts Oder der Frist wird das Frankieren 
verhindert Unter dem Titel: Verfahren und Anordnung 
zur Erzeugung und Uberprufung eines Sicherheitsab- 
druckes wurde bereits in der EP 660 270 A2 (US 
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5,680.463) ein Verfahren vorgeschlagen. die voraus- 
sichrtltche Zeitdauer bis zur ndchsten Guthabennachla- 
dung zu ermttteln. wobei sertens einer Datenzentrale 
diejenige Frankiermaschine als suspekt gilt, welche 
sich nlcht f rlstgemdB meldet. Suspekte Frankiermaschi- 5 
nen werden der Postbehdrde mrtgeteilt. welche den 
Poststrom nach von suspekten Frankierniaschinen fran> 
kierten Briefen ubeiwadrt. Ein Ablauf des Zeitkredits 
Oder der Frist wird bereits audi von der Frankiereinrich- 
tung ermrttelt. Der Benutzer wird aufgefbrdert die Qber- 10 
failige Kbmmunikation durchzufuhren. Diese 
Frankiereinrichtung besitzt jedoch kein separates 
Sicherheitsmodul. 

[0005] Sicherheitsmodule sind von elektronischen 
Datenverarbeitungsanlagen her bereits bekannt. Zum is 
Schutz vor EInbruch in eine elektronische Aniage wird 
in EP 417 447 B1 bereits eine Sperre vorgeschlagen, 
welche Stromversorgungsmittel- und Signalerfassungs- 
mittel sowie Abschirmmittel im Gehduse umfafBt. Das 
Abschirmmittel besteht aus Einkapselungsmaterial und 20 
Leitungsmitteln, an welchendie Stromversorgungs- und 
Signalerfessungsmittel angeschlossen sind. Letzteres 
reagiert auf eine Verdnderung des LeitungswkJerstan- 
desdes Leitungsmittels. AuBerdem enthditdas Sicher- 
heitsmodul eine interne Batterie, einen Spannungsum- 25 
schalter von Systemspannung auf Batteriespannung, 
ein Power Gate und einen KurzschluBtransistor sowie 
weitere Sensoren. Wenn die Spannung eine bestimmte 
Grenze unterschreitet, reagiert das Power Gate. Wenn 
der Leitungswiderstand. die Temperatur oder die Strah- 30 
lung verdndert ist, reagiert die Logik. Mittels des Power 
Gate Oder mittels der Loglk wird der Ausgang des Kurz- 
schluBtransistor auf L-Pegel umgeschaltet. wodurch ein 
im Speicher gespeicherter kryptographtscher Schlussel 
gelOscht wird. Jedoch ist die Lebensdauer der nicht 3s 
auswechselbaren Batterie und damit des Sich^heits- 
moduls for den Einsatz in Frankiereinrichtungen bzw. 
Postverart)eitungsmaschinen zu Meln. 
[0006] Eine grOBere Postverarbertungsmaschine ist 
beispielsweise die JetMail®. Ein Frankierdruck wird hier 40 
mittels einem stationer angeordneten Tlntenstrahl- 
druckkopf bei einem nichtwaagerechten annahernd ver- 
tikalen Brieftransport erzeugt. Eine geeignete 
Ausfuhrung fur eine Druckvorrichtung wurde bereits in 
der DE 196 05 015 CI vorgeschlagen. Die Postverar- 4S 
beitungsmaschine hat ein Meter und eine Base. Soli 
das Meter mit einem Gehduse ausgestattet werden, so 
daB Bauteile leichter zugdnglich sind, dann muB es 
durch ein postalisches Sicherheitsmodul vor Betrugs- 
versuchen geschutzt werden, welches mindestens das so 
Abrechnen der PostgebOhren durchfOhrt Um EinflQsse 
auf den Programmverlauf auszuschlieBen, wurde 
bereits in der EP 789 333 A2 urtter dem Titel: Frankier- 
maschine vorgeschlagen, ein Sicherheitsmodul mit 
einer Anwenderschaltung (Application Specific Integra- ss 
ted Circuit) ASIC auszustatten. die eine Hardware- 
Abrecheneinheit aufweist. Die Anwenderschaltung 
steuert auBerdem die Druckdatenubertragung zum 



Druckkopl 

[0007] Letzteres wdre nur dann nicht ^rfbrderlich. 
wenn fQr jedes PoststOck einzigartige Abdruke erzeugt 
werden. Ein geeignetes Verfahren und Anordnung zur 
Erzeugung und Uberprufung eines Sicherheitsabdruk- 
kes ist beispielsweise in den US 5,680,463, US 
5.712.916 und US 5,734,723 vorgeschlagen worden. 
Dabei wird eine spezielle Sicherheitsmarkierung elek- 
tronisch generiert und in das Druckbild eingebettet. 
[0008] Weitere MaBnahmen zum Schutz eines 
Sicherheitsmodul vor einem Angriff auf die in ihm 
gespeicherten Daten wurden auch in den nicht vorver- 
Offentlichten deutschen Anmeldungen 198 16 572.2 
und 198 16 571.4 vorgeschlagen. Bei einer Vielzahl von 
Sensoren steigt der Stromverbrauch und ein nicht stdn- 
dig von einer Systemspannung versorgter Sicherheits- 
modul zieht dann den fur die Sensoren benotigten 
Strom aus seiner internen Batterie, was letztere eben- 
falls fruhzeitig erschOpft. Die Kapazitdt der Batterie und 
der Stromverbrauch beschrdnken somit die Lebens- 
dauer eines Sicherheitsmoduls. 
[0009] Frankierniaschinen sind wie viele andere 
Produkte ebenfalls modular aufgebaut. Diese Modulari- 
tdt ermOglicht den Austausch von Modulen und Kompo- 
nenten aus verschiedenen Grunden. So kOnnen z.B. 
defekte Module ausgetauscht und durch uberprufte, 
reparierte oder neue Module ersetzt werden. Da ein 
hOchste Sorgsamkeit beim Austausch von Baugruppen 
erfbrderlich ist, die sicherheitsrelevante Daten enthal- 
ten. erfbrdert der Austausch in der Regel den Einsatz 
eines Service Technikers und MaBnahmen, die bei 
unsachgemaBem Gebrauch bzw. unauthorisierten Aus- 
tausch eines Sicherheitsmoduls dessen Funktions- 
weise unterbinden. Letzteres ist aber sehr aufwendig. 
[0010] Der Erflndung liegt die Aufgabe zugrunde, 
mit geringem Aufwand den Schutz vor einem unbefugt 
manipulierten Sicherheitsmodul zu gewdhrleisten, 
wenn das Sicherheitsmodul austauschbar angeordnet 
ist. Der Austausch soli von jederman auf mOglichst ein- 
fache Weise mOglich sein. 

[0011] Die Aufgabe wird mit den Merkmalen des 
Verfahrens nach Anspruch 1 und mit den Merkmalen 
der Anordnung nach Anspruch 10 gelOst. 
[0012] Die Erfindung geht davon aus, mittels Funk- 
tionsetnheiten den Austausch. die Manipulation und 
den Gebrauch eines Sicherheitsmoduls einer Frankier- 
maschine, Postverarbeitungseinrichtung oder dhnlichen 
Gerdtes festzustellen, um den Benutzern der verschie- 
denen Gerdte eine Gewdhrleistung Qber die korrekte 
Funktionsweise des Sicherheitsmoduls und damit des 
gesannten Gerates bieten zu kOnnen. Ein Austauschen 
Oder Beschddigen des Sicherheitsmoduls wird minde- 
stens detektiert und ggf. nachtrdglich als Zustand 
signalisiert, wenn der Sicherheitsmodul wieder gesteckt 
ist und mit einer Systemspannung versorgt wird. Die 
Verdnderungen des Zustandes des Sicherheitsmoduls 
werden mittels einer ersten Funktior^einheit und mittels 
einer Detektionseinheit erfaBt. welche eine rucksetz- 
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bare Sefbsthaltung aufweist und von einer Batterie ver- 
sorgt wird. -Die erste Funktionseinheit kann den 
jeweiligen Zustand auswerten. wenn sie wieder mit 
Systemspannung versorgt wird. Die Vorteile liegen in 
einer schnellen Reaktion auf VerSnderungen des 5 
Zustandes des Sicherheitsmoduls und in einem gerin- 
gem Batteriestromverbrauch der Detektionseinheit 
auch wdhrend der Nichtversorgung mit der System- 
spannung. 

[001 3] Eine zweite Funktionseinheit kann die Batte- 10 
riespannung gegebenenfalls daraufhin ubenA^chen, ob 
deren Kapazitdt erschOpft ist. Ein erfbrderlicher Batte- 
riewechsel wird signalisiert wobei naturlich eine Versor- 
gung durch die Systemspannung gesichert sein mu3. 
Es ist mindestens dann von einem unsachgemdBem is 
Gebrauch eines Sicherheitsmoduls bei dem Austausch 
auszugehen, bei welchen nicht nur die Systemspan- 
nung fehlt, sondern auch die austauschlaar angeord- 
nete Batterie entfernt wird. Damit der Austausch von 
mOglichst gering qualifiziertem Personal und in Zukunft 20 
gar durch den Benutzer ausgefuhrt werden kann, Qber- 
nimmt die zweite Funktionseinheit die Ubenivachung auf 
Spannungsausfall beim Austausch der Batterie. wobei 
die erste Funktionseinheit erforderlichenfalls zundchst 
sensitive Daten lOscht und damit den weiteren 25 
Gebrauch des Sicherheitsmoduls einschrdnkt Oder gar 
unterbindet. Nach einer vor-Ort-lnspektion des Sicher- 
heitsmoduls durch einen Service, kann bei intaktem 
Gehduse. der ursprOngliche Funktionsumfang wieder- 
hergestellt werden. Die erste Funktionseinheit erzwingt 30 
bei einer spdteren Wiederinbetriebnahme eine Kontakt- 
aufnahme des Sicherheitsmoduls mit einer entfernten 
Datenzentrale zum Frelschalten mindestens einer 
Funktionseinheit. Falls ohne Batteriewechsel der ganze 
Sicherheitsmodul ausgetauscht wurde, werden 35 
zundchst durch die zweite Funktionseinheit ebenfalls 
sensitive Daten geldscht. jedoch kOnnen bei der Wie- 
derinbetriebnahme die sensitiven Daten reinitialisiert 
werden. Zur Kbntaktaufnahme sind Verfahren mit einer 
digitalen oder anaiogen Ubertragungsstrecke einsetz- 40 
bar. Ebenfalls wird eine Inspektion des Sicherheitsmo- 
duls dann durch einen Service veranlaBt. Der 
Sicherheitsmoduls kann verschiedene Zustande signa- 
lisieren. So kann beispielsweise unterschieden werden, 
Ob der letzte Kontakt zur Datenzentrale sotange zunjck- 45 
liegt da6 dies bereits verddchtig erscheint oder 
zulange. daB eine Reinitialisierung nicht mehr gestattet 
wird. Die erste Funktionseinheit wertet stdndig einen 
ersten Tageskredit aus. Wenn letzterer erschott ist, wird 
der suspekte Zustand signalisiert. Durch Kontaktauf- so 
nahme mit der Datenzentrale kann der nor-maie 
Arbeitszustand wiederhergestellt werden, ohne daB 
eine Inspektion vor Ort durch einen Service erfbrderlich 
wird. Der Zeitkredit kann variabel und von Sicherheits- 
gerdt zu Sicherheitsgerdt unterschiedlich sein. Der Zeit- ss 
kredit kann von der Datenzentrale vorgegeben und bei 
der Installation in einen Speicher des Sicherheitsgerd- 
tes geladen werden. Die erste Funktionseinheit wertet 



stdndig einen zweiten Tageskredit aus. Wenn letzterer 
erschoft ist, wird der Zustand ^LOST* signalisiert. Im 
letzteren Fall wird ebenfalls eine Inspektion des Sicher- 
heitsmoduls durch einen Service vor Ort erfbrderlich. 
[0014] Das Verfahren zum Schutz eines Sicher- 
heitsnrKXluls beinhaltet die fblgenden Schritte: 

• Uberwachung des Zustandes. des sachgemdBen 
Gebrauchs oder Austausches des Sicherheitsmo- 
duls mindestens mittels zweier Funktionseinheiten, 
SignaJisieren mindestens eines Zustandes gesteu- 
ert mittels einer ersten Funktionseinheit, 
LOschen von sensitiven Daten aufgrund eines 
unsachgemdBen Gebrauchs oder Austausches 
mindestens mittels einer zweiten Funktionseinheit. 

[0015] Dann erfolgt ein weiterer Verfahrensablauf 
mit den Schritten: 

Reinitialisieren mittels der ersten Funktionseinheit 
von zuvor gelOschten sensitiven Daten nach sach- 
gemSBem Gebrauch oder Austausch des Sicher- 
heitsmoduls, 

Wiederinbetriebnahme durch Freischalten der 
Funktionseinheiten des Sicherheitsrrxxiules. 

[0016] Gegebenenfells muB ein Austausch des 
Sicherheitsnruxiuls vorgenommen werden. Mittels einer 
dritten Funktionseinheit kann sowohl ein Austausch- als 
auch ein ZerstOrungszustand nach einem mechani- 
schen oder chemischen Angriff detektiert werden. mit 
dem Schritt: 

Sperren der FunktionaJitat mittels der dritten Funk- 
tionseinheit aufgrund eines Austausches des 
Sicherheitsmoduls oder aufgrund eines ZerstO- 
rungszustarxies nach einem Angriff. 

[0017] Es ist vorgesehen, daB das Reinitialisieren 
in Verbindung mit einer Kommunikation mittels einer 
entfernten Datenzentrale von der ersten Funktionsein- 
heit vorgenommen wird, nachdem eine dynamische 
Gestecktsein-Detektion erfblgreich durchgefOhrt wurde, 
wobei wShrend der Detektion von der ersten Funktions- 
einheit uber eine Stromschleife der Interfaceeinheit 
Informationen ausgetauscht werden, deren fehlerfreie 
Ubermittiung den Beweis fur den sachgemdBen Einbau 
des Slcherheitsnruxfules erbringt. Das Freischalten von 
Funktionseinheiten des Sicherhertsmodules erfolgt 
durch deren Rucksetzen. Die erste Funktionseinheit ist 
ein mit den arideren Funktionseinheiten verbundener 
Prozessor, welcher programmiert ist, den jeweiligen 
Zustand festzustetlen. Die zweite Funktionseinheit ist 
eine Spannungsuberwachungseinheit mit rucksetzba- 
rer Selbsthaltung und die dritte Funktionseinheit ist eine 
Detektionsschaltung mit rucksetzbarer Selbsthaltung, 
die einen vorhergegangenen Ungestecktsein-Zustand 
und ebenso einen ZerstOrungszustand nach einem 
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mechanischen Oder chemischen Angriff detektieren 
kann. Fur diese statische Detektion ist die VerguQ- 
masse mit zusdtzlichen Mittein ausgestattet. welche 
das Sicherheitsmodul bei einem Angriff warnen und ggf. 
schutzen. 5 
[0018] Die Anordnung zur Durchfuhrung des Ver- 
fahrens hat ein Sicherheitsmodul, mit einer Logik mit 
Mittein zur Versorgung des Sicherheitsmoduls mit einer 
Systemspannung Oder mit einer Spannung aus einer 
Batterie und mit einer Anzahl an Uberwachungsmitteln. 10 
Sie ist gekennzeichnet durch mindestens eine erste und 
zweite Funktionseinheit sowie durch Mittel zum Laden 
mindestens eines von der Datenzentrale vorgegebenen 
Zeitkredrts und durch ein Signalmittel. welches mit einer 
ersten Funktionseinheit verbunden ist. wobei das Laden is 
bei der Installation und beim Nachladen in einen Spei- 
cher des Sicherheitsgerdtes vorgenommen wird, und 
wobei die erste Funktionseinheit einen Tageskredit auf 
Zeitablauf auswertet und das Signalmittel ansteuert, 
mindestens um den Zeitablauf zu signalisieren, sowie 20 
durch Mittel der zweiten Funktionseinheit zum LOschen 
von sensitiven Daten im Speicher aufgrund eines 
unsachgemdBen Gebrauchs Oder Austausches des 
Sicherheitsmoduls. 

[0019] Vorteilhafte Weiterbildungen der Erfindung 25 
sind in den UnteransprQchen gekennzeichnet bzw. wer- 
den nachstehend zusammen mit der Beschreibung der 
bevorzugten AusfQhrung der Erfindung anhand der 
Figuren ndher dargestellt. Es zeigen: 

30 

Flgur 1, Blockbild und Interface des Sicherheitsmo- 
duls, 

Figur 2, Blockschaltblk:! der Frankiermaschine, 

35 

Figur 3, Perspektivische Anstcht der Frankierma- 
schine von hinten, 

Figur 4, BlockschaltbikJ des Sicherheitsmoduls 
(zweite Variante). 40 

Figur 5, SchaltbikI der Detekttonseinheit, 

Figur 6, Seitenansicht des Sicherheitsmoduls (1 
.Variante). 45 

Figur 7. Draufsicht auf das Sicherheitsmodul (1 

.Variante). 

Figur 8a, Ansicht des Sicherheitsmoduls von rechts so 
(1 .Variante), 

Figur 8b. Ansicht des Sicherheitsmoduls von links 
(1 .Variante). 

55 

Figur 9, Tabelle fQr Statussignalisierung. 

Figur 10. Darstellung der Prufungen im System fur 
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statische und dynamisch andert>are Zustdnde, ^ 

Figur 11. Seitenansicht des Sicherheitsmoduls 
(2.Variante), 

Rgur 12, Draufsicht auf das Sicherheitsmodul 
(2.Variante), 

Rgur 13a. Ansicht des Sicherheitsmoduls von 
rechts (2. Variante). 

Rgur 13b. Ansicht des Sicherheitsmoduls von links 
(2.Variante). 

[0020] In der Figur 1 ist ein Blockbild des Sicher- 
heitsmoduls 100 mit den Kontaktgruppen 101. 102 zum 
AnschluB an ein Interface 8 sowie mit den Batteriekon- 
taktklemmen 103 und 104 eines Batterieinterteces fOr 
eine Batterie 134 dargestellt. Obwohl das Sicherheits- 
modul 1 00 mit einer harten VerguBmasse vergossen ist. 
ist die Batterie 134 des Sicherhatsmoduls 100 auBer- 
halb der VerguBmasse auf einer Leiterplatte auswech- 
selbar angeordnet. Die Leiterplatte trdgt die 
Batteriekontaktktemmen 103 und 104 fur den AnschluB 
der Pole der Batterie 134. Mittels der Kontaktgruppen 
101, 102 wird das Sicherheitsmodul 100 an ein entspre- 
chendes Interface 8 der Hauptplatine (Mothert>oard) 9 
gesteckt. Die erste Kbntaktgruppe 101 steht mit dem 
Systembus einer Steuereinrichtung in Kommunikations- 
verbindung und die zweite Kontaktgruppe 102 dient der 
Versorgung des Sicherheitsmoduls 100 mit der System- 
spannung. Uber die Pins P3,P5-P19der Kbntaktgruppe 
101 laufen AdreBund Datenleitungen 117. 118 sowie 
Steuerieitungen 115. Die erste und/oder zweite Kon- 
taktgruppe 101 und/oder 102 sind/ist zur statischen und 
dynamischen Oberwachung des Angestecktseins des 
Sicherheitsmoduls 100 ausgebildet. Uber die Pins P23 
und P25 der Kontaktgruppe 102 wird die Versorgung 
des Sicherheitsmodul 100 mit der Systemspannung der 
Hauptplatine 9 realisiert und uber die Pins PI . P2 bzw. 
P4 wird eine dynamische und statische Ungestecktsein- 
Detektion durch das Sicherheitsmodul 100 realisiert. 
Letztere erfordert eine Detekb'onseinheit 13, welche 
uber uber eine Leiterschlelfe 192, 194 mit dem Pin P4 
der Kontaktgruppe 102 verbunden ist. Die Leiterschleife 
kann als Bestandteil des besonders zu sichernden Teils 
des Sicherheitsmoduls 100 ausgebildet und in VerguB- 
masse so eingebettet sein. das bei einem mechanisch 
Oder chemischen Angriff auf den vorgenannten Tell des 
Sicherheitsmoduls 100 der Kbntakt zum Pin P4 unter- 
brochen wird. 

Das Sicherheitsmodul 100 weist in an sich bekannter 
Welse einen Mikroprozessor 120 auf, der einen - nicht 
gezelgten - integrierten Festwertspeicher (internal 
ROM) mit dem speziellen Anwendungsprogramm ent- 
hait, was for die Frankiermaschine von der PostbehOrde 
bzw. vom jeweiligen Postbef6rderer zugelassen ist. 
Alternativ kann an den internen Datenbus 126 ein ubli- 
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Cher -Pestwertspeicher ROM Oder FLASHSpeicher 
angeschlosseh werden. 

Das Sicherheitsmcxiul 100 weist in an sich bekannter 
Weise eine ResetSchaitungseinheit 130, einen Anwen- 
derschaltkreis ASIC 150 und eine Logik PAL 160 auf, s 
die fur den ASIC als Steuersignalgenerator dient. Die 
Reset-Schaltungseinhert 130 bzw. der Anwenderschalt- 
kreis ASIC 150 und die Logik PAL 160 sowie eventuell 
weitere - nicht gezelgte - Spelcher werden uber die Lei- 
tungen 191 bzw. 129 mil Systemspannung Us+ ver- io 
sorgt. welche bei eingeschalteter Frankiereinrichtung 
von der Hauptplatine 9 geliefert wird. In der EP 789 333 
A2 wurden bereits die wesentlichen Telle eines postal!- 
schen SIcherheitSfnoduls PSM eriautert, die die Funk- 
tionen Abrechnen und Absichern der Postgebuhr- 75 
endaten realisieren. 

[0021] Die Systemspannung Us+ liegt auBerdem 
Qber eine Diode 181 und die Leitung 136 am Eingang 
der Spannungsuberwachungseinheit 12 an. Am Aus- 
gang der Spannungsuberwachungseinheit 12 wird eine 20 
zweite Betriebsspannung UIm- geliefert. welche Ober die 
Leitung 138 zur Verfugung steht. Bel ausgeschalteter 
Frankiereinrichtung steht nicht die Systemspannung 
Us-i-. sondern nur die Batteriespannung Ub+ zur Verfu- 
gung. Die am negativen Pol liegende Batteriekontakt- 25 
klemme 104 ist mit Masse verkxjnden. Von der am 
positiven Pol liegenden Batteriekontaktklemme 103 
wird Batteriespannung Qber eine Leitung 193, uber eine 
zweite Diode 182 und die Leitung 136 an den Eingang 
der Spannungsuberwachungseinheit geliefert. Alterna- 30 
tiv zu den beiden Dioden 181, 182 kann ein handelsub- 
licher Schaltkreis als Spannungsumschalter 180 
eingesetzt werden. 

[0022] Der Ausgang der Spannungsubenwachungs- 
einheit 12 ist uber eine Leitung 138 mit einem Eingang 35 
fur diese zweite Betriebsspannung U|;>^ des Prozessors 
120 verbunden, welcher mindestens auf einen RAM- 
Spelcheibereich 1 22. 124 fuhrt und dort eine nichtflQch- 
tige Speicherung solange garantiert, wie die zweite 
Betriebsspannung U^^ in der erforderlichen Hdhe 40 
aniiegt. Der Prozessor 120 enthdit vorzugsweise einen 
internen RAM 124 und eine Echtzeituhr (RTC) 122. 
[0023] Die SpannungsObenA^achungseinheit 12 im 
Sicherheitsmodul weist eine rucksetzbare Selbsthal- 
tung auf, die vom Prozessor 120 uber eine Leitung 164 45 
ak^gefragt und uber eine Leitung 1 35 zuruckgesetzt wer- 
den kann. Fur eine Rucksetzung der Selbsthaltung 
weist die Spannungsubenfvachungseinheit 12 Schal- 
tungsmittel auf. Die Rucksetzung ist erst auslOsbar. 
wenn die Batteriespannung uber die vorbestimmte so 
Schwelle angestiegen ist. Die Leitungen 135 and 164 
sind je mit einem Pin (Pini und 2) des Prozessors 120 
vertxjnden. Die Leitung 164 liefert ein Statussignal an 
den Prozessor 120 und die Leitung 135 liefert ein Steu- 
ersignal an die Spannungsuberwachungseinheit 12. ss 
[0024] Die Leitung 136 am Eingang der Span- 
nungsuberwachungseinheit 12 versorgt zugleich eine 
Ungestecktsein-Detektionseinheit 13 mit Betriebsoder 



Batteriespannung. Die Ungestecktsein-Detektionsein- 
heit 13 gibt auf der Leitung 139 ein Statussignal an 
einen Pin 5 des Prozessors 120 ab, das eine Aussage 
Qber den Zustand der Schaltung gibt. Vom Prozessor 
120 wird der Zustand der Ungestecktsein-Detektions- 
einheit 13 uber die Leitung 139 abgefragt. Der Prozes- 
sor kann mit einem vom Pin 4 des Prozessors 120 uber 
die Leitung 137 abgegebenen Signal die Ungesteckt- 
sein-Detektionseinheit 13 zurQcksetzen. Nachdem Set- 
zen wird eine statische PrOfung auf AnschluB 
durchgefuhrt. Dazu wird uber eine Leitung 192 Masse- 
potential abgefragt. welches am AnschluB P4 des inter- 
faces 8 des postaiischen Sicherheitsmoduls PSM 100 
aniiegt und nur abfragt>ar ist, wenn der Sicherheitsmo- 
dul 100 ordnungsgemdB gesteckt ist. Bel gesteckten 
Sicherheitsmodul 100 wird Massepotential des negati- 
ven Pols 104 der Batterie 134 des postaiischen Sicher- 
heitsmoduls PSM 100 auf den AnschluB P23 des 
Interfaces 8 gelegt und ist somit am AnschluB P4 des 
interfaces 8 Qber die Leitung 192 von der Ungesteckt- 
sein-Detektionseinheit 13 abfragbar. 
[0025] An den Pins 6 und 7 des Prozessors 120 
liegt eine Leitungsschleife. welche Qber die Pins PI und 
P2 der Kbntaktgruppe 102 des Interfaces 8 zum Pro- 
zessor 120 zuruckgeschleift wird. Zur dynamischen 
Pnjfung des Angeschlossenseins des postaiischen 
Sicherheitsmoduls PSM 100 an der Hauptplatine 9 wer- 
den vom Prozessor 120 wechselnde Signalpegel in 
ganz unregelmdBigen Zertabstdnden an die Pin's 6, 7 
angelegt und uber die Schleife zuruckgeschleift. 
Das postaJische Sicherheitsmodul PSM 100 ist mit einer 
Long-LiveBatterie bestuckt, welches auch eine Ubenva- 
chung des Gebrauchs ermOglicht, ohne das das Sicher- 
heitsmodul an einer Systemspannung eines 
Postverabeitungseinrichtung liegt. Der sachgemdBe 
Gebrauch, Betrieb, Installation oder Einbau in der 
geeigneten Umgebung sind solche von den Funktions- 
einheten des Sicherheitsmoduls zu prQfende Eigen- 
schaften. Eine Erstinstallation wird vom Hersteller des 
postaiischen Sicherheitsmoduls vorgenommen. Es ist 
also nach dieser Erstinstallation zunSchst lediglich zu 
prOfen, ob das postalische Sicherheitsmodul von ihrem 
Einsatzfeld (Postverabeitungseinrichtung) getrennt 
wird, wobei dies in der Regel bei einem Austausch 
erfolgt. 

Die Uberwachung dieses Zustandes wird von der Unge- 
stecktseinDetektionseinheit 13 vorgenommen. Hierbei 
wird Qber die Masseverbindung am Pin 4 der interface- 
einheit 8 ein Spannungspegel ubenracht Beim Aus- 
tausch der Funktionseinheit wird diese 
Masseverbindung unterbrochen urKi die Ungesteckt- 
sein-Detektionseinheit 13 registriert diesen Vorgang als 
Information. Da bei einem mechanlsch oder chemi- 
schen Angriff auf das Sicherheitsmodul 1 00 und fur jede 
Trennung des Sicherheitsmoduls 100 von der Interface- 
einheit 8. die Speicherung dieser Information durch den 
speziellen batteriegetriebenen Schaltungsaufbau 
gewahrleistet ist, kann eine Auswertung dieser Informa- 
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tion zu jeder Zeit erfblgen, falls eine Wiederinbetrieb- 
nahme gewunscht ist. Die regelma3ige Auswertung 
dieses Trennungs- bzw. Ungestecktseln-Signals auf der 
Leitung 139 der Detektionseinheit 13 ermOglicht es dem 
Prozessor 120 sensitive Daten zu lOschen. ohne jedoch 
damit die Abrechnungs- und Kundendaten in den 
NVRAM-Speichern zu verSndern. Der momentane 
Zustand des postalischen Sicherhertsmoduls mit den 
gelOschten sensitiven Daten kann als Wartungszustand 
aufge^Bt werden, in welchem in der Regel der Aus- 
tausch, eine Reparatur oder sonstiges vorgenommen 
wird. Da die sensitiven Daten der Funktionseinheit 
geldscht sind, ist ein Fehler aufgrund einer unsachge- 
mdBen Handhakxing des postalischen Sicherheitsmo- 
duls ausgeschlossen. Die sensitiven Daten sind 
beispielsweise kryptographische Schlussel. Der Pro- 
zessor 120 verhlndert im Wartungszustand eine Kern- 
funktionalitdt des postalischen SicherheitsnrxxluISp 
welche beispielweise in der Abrechnung und/oder 
Berechnung eines Sicherheitscodes fur die Sicherheits- 
markierung in einem Sicherheitsabdruck besteht. 
[0026] Zur Wiederinbetriebnahme wird das postali- 
sche Sicherheitsmodul PSM zundchst gesteckt und 
elektrisch mit der errtsprechenden Interfaceeinheit 8 
eines Postbearbeitungsgerates verbunden. Anschiie- 
3end wird das Gerdt eingeschaltet und somit das posta- 
lische Sicherheitsmodul wieder mit Systemspannung 
Us+ versorgt. Aufgrund des speziellen Zustandes muB 
nun der sachgemdBe Eirtbau des postalischen Sicher- 
hertsmoduls durch ihre Funktionseinheit erneut gepruft 
werden. Hierfur wird eine zweite Stufe einer PrOfung 
(dynamische Gestecktsein-Detektion) vorgesehen. 
Ober eine zwischen der ersten Funktionseinheit (Pro- 
zessor 120) und der Stromschleife 18 der Interfaceein- 
heit 8 hergestellten operative Verbindung werden 
Informationen ausgetauscht, deren fehlerfreie Ubermitt- 
lung den Beweis fur den sachgemaBen Einbau erbringt. 
Dies ist Voraussetzung fOr eine erfolgreiche Wiederin- 
betriebnahme. 

[0027] Fur den Zustandswechsel in den normalen 
Betriebszustand ist nun noch eine Relnitialisierung der 
sensitiven Daten erforderlich. Zwischen dem postali- 
schen Sicherheitsmodul und einer dritten Instanz wird 
eine Kbmmunikation vorgenommen, wobei letztere 
diese sensitiven Daten ubermittelt. Nach erfolgreicher 
Ubermittlung wird die UngestecktseinDetektionseinheit 
13 zurOckgesetzt und das postalische Sicherheitsmodul 
nimmt wieder seinen normalen Betriebszustand ein. 
Die Wiederinbetriebnahme ist abgeschlossen. 
[0028] Die Rgur 2 zeigt ein Blockschaltbild einer 
Frankiermaschinep die mit einer Chipkarten- 
Schreib/Leseeinheit 70 zum Nachladen von Ande- 
rungsdaten per Chipkarte und mit einer Druckeinrich- 
tung 2, welche von einer Steuereinrichtung 1 gesteuert 
wird, ausgestattet ist. Die Steuereinrichtung 1 weist 
eine mit einem Mikroprozessor 91 mit zugehOrigen 
Speichem 92, 93, 94, 95 ausgestattete Hauptplatine 9 
auf. 



[0029] Der Programmspeicher 92 enthaJt ^ein 
Betriebsprogramm mindestens zum Driscken und 
wenigstens sicherhetsrelevante Bestandteile des Pro- 
gramme fur eine vorbestimmte Format-Anderung eines 

5 Teils der Nutzdaten. 

Der Arbeitsspeicher RAM 93 dient zur flQchtigen Zwi- 
schenspeicherung von Zwischenergebnissen. Der 
nichtiluchtige Speicher NVM 94 dient zur nichtf luchtigen 
Zwischenspeicherung von Daten, beispielsweise von 

10 statistlschen Daten, die nach Kostenstellen geordnet 
sind. Der Kalender/Uhrenbaustein 95 enthdit ebenfalls 
adressiert>are aber nichtiluchtige Speicherbereiche zur 
nichtflQchtigen Zwischenspeicherung von Zwischener- 
gebnissen Oder auch bekannten Programmteilen (bei- 

15 spielsweise fQr den DES-Algorithmus). Es ist 
vorgesehen. daB die Steuereinrichtung 1 mit der Chip- 
karten-Schreib/Leseeinheit 70 verbunden ist, wobei der 
Mikroprozessor 91 der Steuereinrichtung 1 beispiels- 
weise dazu programmiert ist, die Nutzdaten N aus dem 

20 Speicherbereich einer Chipkarte 49 zu deren Anwen- 
dung in entsprecherKle Speicherbereiche der Frankier- 
maschine zu laden. Eine in einen Einsteckschlitz 72 der 
Chipkarten-Schreib/Leseeinheit 70 eingesteckte erste 
Chipkarte 49 gestattet ein Nachladen eines Datensat- 

25 zes in die Frankiermaschtne fOr mindest^s eine 
Anwendung. Die Chipkarte 49 enthdit beispielsweis 
die Portogebuhren fur alle Lifc)lichen PostisefOrdererlei- 
stungen entsprechend des Tarifs der PostbehOrde und 
ein Posfl^efOrdererkennzeichen. um mit der Frankierma- 

30 schine ein Sterrpelbild zugenerieren und entsprechend 
des Tarifs der PostbehOrde die PoststOcke freizustem- 
peln. 

[0030] Die Steuereinrichtung 1 bifdet das eigentli- 
che Meter mit den MItteIn 91 bis 95 der vorgenannten 

35 Hauptplatine 9 und umfaBt auch &ne Tastatur 88, eine 
Anzeigeeinheit 89 sowie einen anwendungsspezifi- 
schen Schaltkreis ASIC 90 und das Interface 8 fQr das 
postalische Sicherheitsmodul PSM 100. Das Sicher- 
heitsmodul PSM 100 ist uber einen Steuerbus mit dem 

40 vorgenannten ASIC 90 undi dem Mikroprozessor 91 
sowie uber den parallelen ^C-Bus mindestens mit den 
Mittein 91 bis 95 der Hauptplatine 9 und der mit Anzei- 
geeinheit 89 vertxjnden. Der Steuertujs fOhrt Leitungen 
fur die Signale CE. RD urxJ WR zwischen dem Sicher- 

45 heits-modul PSM 100 und dem vorgenannten ASIC 90. 
Der Mikroprozessor 91 weist vorzugsweise einen Pin 
fQr ein vom Sicherheitsmodul PSM 100 abgegebenes 
interruptsignal i, weitere AnschlQsse fQr die Tastatur 88, 
eine serielle Schnittstelle SI-1 fQr den AnschluB der 

so ChipkartenSchreib/Lese-Einheit 70 und eine serielle 
Schnittstelle SI-2 fQr den optionalen AnschluB eines 
MODEMS auf Mittels des MODEMS kann beispiels- 
weise das im nichtflQchtigen Speicher des postalischen 
Sicherheitsmittels PSM 100 gespeicherte Guthaben 

55 erhOht werden. 

[0031] Das postalische Sicherheitsmittel PSM 100 
wird von einem gesicherten GehSuse umschlossen. Vor 
jedem Frankierabdruck wird im postalischen Sicher- 
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heitsmodul PSM 100 eine hardwaremdBige Abrech- 
nung durchgerfuhrt. Die Abrechnung erfolgt unabhdngig 
von Kostenstellen. Das postalische Sicherheitsmittei 
PSM 100 kann intern so ausgefuhrt sein, wie in der 
europdischen Anmeldung EP 789 333 A3 ndher 5 
beschrieben wurde. Es ist vorgesehen. daB der ASIC 
90 eine serielle Schnrttstellenschaltung 98 zu einem im 
Poststrom vorschalteten Gerdt, eine serielle Schnittstel- 
lenschaltung 96 zu den Sensoren und Aktoren der 
Dructeinrichtung 2, eine serielle Schnittstellenschal- 10 
tung 97 zur Drucksteuerelektronik 16 fur den Druckkopf 
4 und eine serielle Schnittsteltenschaltung 99 zu einem 
der Druckeinrichtung 20 im Poststrom nachgeschalte- 
ten Gerat aufweist. Der DE 197 1 1 997 ist eine AusfQh- 
rungsvariante fOr die Peripherieschnittstelle 15 
entnehmbar. welche fur mehrere Peripheriegerate (Sta- 
tionen) geeignet ist. Sie trSgt den Titel: Anordnung zur 
Kommunikation zwischen einer Basisstation und weite- 
ren Statlonen einer Postbearbeitungsmaschine und zu 
deren Notabschaltung. 20 
[0032] Die Schnrttstellenschaltung 96 gekoppelt mit 
der in der Maschinenbasis befindlichen Schnittstellen- 
schaltung 14 stellt mindestens eine VerbirKlung zu den 
Sensoren 6, 7, 17 und zu den Aktoren, beispielsweise 
zum Antriebsmotor 15 fur die Walze 11 und zu einer 25 
Reinigungs- und Dichtstation RDS 40 fur den Tinten- 
strahldruckkopf 4, sowie zum Labelgeber 50 in der 
Maschinenbasis her Die prinzipielle Anordnung urxi das 
Zusammenspiel zwischen Tintenstrahldruckkopf 4 und 
der RDS 40 sind der DE 1 97 26 642 C2 entnehmbar, mrt 30 
dem Trtel: Anordnung zur Positionlerung eines Tinten- 
strahldruckkopfes und einer Reinigungs- und Dichtvor- 
richtung. 

Einer der in der Fuhrungsplatte 20 angeordneten Sen- 
soren 7, 1 7 ist der Sensor 1 7 und dient zur Vorbereitung 35 
der DruckauslGsung beim Brieftransport. Der Sensor 7 
dient zur Briefanfangserkennung zwecks Druckausld- 
sung beim Brieftransport. Die Transporteinrichtung 
besteht aus einem Transportband 10 und zwei Walzen 
11,11'. Eine der Walzen ist die mit einem Motor 1 5 aus- 40 
gestattete Antriebswaize 1 1 . eine andere ist die mitlau- 
fende Spannwaize 11'. Vorzugsweise ist die 
Antriebswaize 1 1 als Zahnwaize ausgefOhrt, entspre- 
chend ist auch das Transportband 10 als Zahnriemen 
ausgefuhrt. was die eindeutlge Kraftubertragung 45 
sichert. Ein Encoder 5. 6 ist mit einer der Walzen 11. 11' 
gekoppelt. Vorzugsweise sitzt die Antriebswaize 1 1 mit 
einem Inkrementalgeber 5 fest auf einer Achse. Der 
Inkrementalgeber 5 ist beispielsweise als Schlitz- 
scheibe ausgefuhrt. die mit einer Lichtschranke 6 so 
zusammen wirkt, und gibt uber die Leitung 19 ein Enco- 
dersignai an die Hauptplatine 9 ab. 
Es ist vorgesehen, daB die einzelnen Druckelemente 
des Druckkopfes innerhalb seines GehSuses mit einer 
Druckkopfelektronik verbunden sind und daB der Druck- 55 
kopf fur einen rein elektronischen Druck ansteuerbar ist. 
Die Drucksteuerung erfolgt auf Basis der Wegsteue- 
rung, wobei der gewdhlte Stempelversatz berucksk:htigt 



wird. welcher per Tastatur 88 Oder bei Bedarf per Chip- 
karte eingegeben und im Speicher NVM 94 nichtf luchtig 
gespeichert wird. Ein geplanter Abdruck ergibt sich 
somit aus Stempelversatz (ohne Drucken). dem Fran- 
kerdruckbild und gegebenfalls weiteren Druckbildern 
fur Werbeklischee, Versandinfbrmationen (Wahldrucke) 
und zusdtzlichen edrtierbaren Mitteilungen. Der nicht- 
fluchtige Speicher NVM 94 weist eine Vielzahi an Spei- 
chert>ereichen auf. Darunter sind solche, welche die 
geladenen PortogebOhrentabellen nichtflQchtig spei- 
chern. 

Die Chipkarten-Schreib/Leseeinheit 70 besteht aus 
einem zugehOrigen mechanischen Trdger fur die Mikro- 
prozessorkarte urxi Kbntaktiereinheit 74. Letztere 
gestattet eine sichere mechanische Halterung der Chip- 
karte in Lese-Position und eindeutige Signalisierung 
des Erreichens der Leseposition der Chipkarte in der 
Kbntaktierungseinheit. Die Mikroprozessorkarte mit 
dem Mikroprozessor 75 besitzt eine einprogrammierte 
Lesefdhigkeit fOr alle Arten von Speicherkarten bzw. 
Chipkarten. Das Interface zur Frankiermaschine ist eine 
serielle Schnittstelle gemdB RS232-Standard. Die 
Datenubertragungsrate betragt min. 1 .2 K Baud. Das 
Einschalten der Stromversorgung erfolgt mittels einem 
an der Hauptplatine angeschlossenen Schalter 71. 
Nach Einschalten der Stromversorgung erfolgt eine 
Selbsttestfunktion mit Bereitschaftsmeldung. 
[0033] In der Figur 3 ist eine perspektivische 
Ansicht der Frankiermaschine von hinten dargestellt. 
Die Frankiermaschine besteht aus einem Meter 1 und 
einer Base 2. Letztere ist mit einer Chipkarten-Schreib/ 
Leseeinheit 70 ausgestattet, die hinter der Fuhrungs- 
platte 20 angeordnet und von der Gehduseoberkante 
22 zuganglich ist. Nach dem Einschaften der Frankier- 
maschine mittels dem Schalter 71 wird eine Chipkarte 
49 von oben nach unten in den Einsteckschlitz 72 ein- 
gesteckt. Ein zugefuhrter auf der Kante stehender Brief 
3, der mit seiner zu bedrud^nden Oberfldche an der 
Fuhrungsplatte aniiegt, wird dann entsprechend der 
Eingabedaten mit einem Frankierstempel 31 bedruckt. 
Die Brtefzufuhrdffnung wird durch eine Klarsichtplatte 
21 und die Fuhrungsplatte 20 seitlich begrenzt. Die Sta- 
tusanzeige des auf die Hauptplatine 9 des Meters 1 
gesteckten Sicherheitsmoduls 100 ist von auBen durch 
eine Offnung 109 sichtt)ar. 

[0034] Die Figur 4 zeigt ein Blockschaltbild des 
postalischen Sicherheitsmoduls PSM 100 in einer 
be/orzugten Variante. Der negative Pol der Batterle 134 
ist auf Masse und einen Pin P23 der Kbntaktgruppe 1 02 
gelegt. Der positive Pol der Batterie 134 ist uber die Lei- 
tung 193 mit dem einen Eingang des Spannungsum- 
schalters 180 und die Systemspannung fuhrende 
Leitung 191 ist mit dem anderen Eingang des Span- 
nungsumschalters 180 verbunden. Als Batterie 134 eig- 
net sich der Typ SL389/P fur eine Lebensdauer bis zu 
3,5 Jahren Oder der Typ SL-386/P fur eine Lebensdauer 
bis zu 6 Jahren bei einem maximalen Stromverbrauch 
durch das PSM 100. Als Spannungsumschalter 180 
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kann ein handelsOblicher Schaltkreis vom Typ ADM 
8693ARN eingesetzt werden. Der Ausgang des Span- 
nungsumschalters 180 liegt Qber die Leitung 136 an der 
Batterieuberwachungseinheit 12 undder Detektionsein- 
heit 13 an. Die Batterieubenwachungseinheit 1 2 und die $ 
Detektionseinheit 13 stehen mit den Pins 1, 2, 4 und 5 
des Prozessors 120 Qber die Leitungen 135. 164 und 
137. 139 in Kbmmunikationsverblndung. Der Ausgang 
des Spannungsumschalters 180 liegt Qber die Leitung 
136 auBerdem am Versorgungseingang eines ersten w 
Speichers SRAM an, der durch die vorhandene Batterie 
134 zum nichtfluchtigen Speicher NVRAM einer ersten 
Technologie wird. 

Das Sicherheitsmodul steht mit der Frankiermascliine 
Qber den Systembus 115.117, 118 in Verbindung. Der is 
Prozessor 120 kann Qber den Systembus und ein 
Modem 83 in Kommunikationsverbindung mit einer ent- 
fernten Datenzentraie eintreten. Die Abrechnung wird 
vom ASIC 150 vollzogen und vom Prozessor 120 Qber- 
pruft. Die postalischen Abrechnungsdaten werden in 20 
nichtflQclitigen Speichem unterschiedlicher Technolo- 
gie gespetchert. 

Die Systemspannung liegt am Versorgungseingang 
eines zweiten Speichers NV-RAM 1 14 an. Bei letzterem 
handelt es sich um einen nichtflQchtigen Speicher 25 
NVRAM einer zweiten Technologie, (SHADOWRAM). 
Diese zweiten Technologie umfaBt vorzugsweise ein 
RAM und ein EEPROM, wobei letzteres die Datenin- 
halte bei Systemspannungsausfall automatisch uber- 
nimmt. Der NVRAM 1 1 4 der zweiten Technologie ist mit 30 
den entsprechenden Adress- und Dateneingangen des 
ASIC's 150 Qber einen internen AdrefB- und Datenbus 
112, 113 vertxjnden. 

[0035] Der ASIC 1 50 enthdit mindestens eine Hard- 
ware-Abrecheneinheit fQr die Berechnung der zu spei- 35 
chernden postalischen Daten. In der Programmable 
Array Logic (PAL) 160 ist eine Zugriffslogik auf den 
ASIC 150 untergebracht. Der ASIC 150 wird durch die 
Logik PAL 160 gesteuert. Ein AdreB- und Steuerbus 
1 1 7, 1 1 5 von der Hauptplatine 9 ist an entsprechenden 40 
Pins der Logik PAL 160 angeschlossen und die PAL 160 
erzeugt mindestens ein Steuersignal fur das ASIC 150 
und ein Steuersignal 119 fQr den Programmspeicher 
FLASH 128. Der Prozessor 120 arbeitet ein Programm 
ab, das im FLASH 128 gespeichert ist. Der Prozessor 45 
120, FLASH 28, ASIC 150 und PAL 160 sind Qber einen 
modulinternen SystemtHJS miteinander verbunden, der 
Leitungen 110.111.126.119 fQr Daten-. AdreB- und 
Steuersignal e enthait. 

Der Prozessor 120 des Sicherheitsmoduls 100 ist Qber so 
einen modulinternen Datenbus 126 mit einem FLASH 
128 und mit dem ASIC 150 verbunden. Der FLASH 128 
wird mit Systemspannung U&i- versorgt. Er Ist beispiels- 
weise ein 128 Kbyte- FLASH-Speicher vom Typ 
AM29F0I0-45EC. Der ASIC 150 des postalischen ss 
Sicherheitsmoduls 100 liefert Qber einen modulinternen 
AdreBbus 11 0 die Adressen 0 bis 7 an di entsprechen- 
den AdreBeingange des FLASH 128. Der Prozessor 



120 des Sicherheitsmoduls 100 liefert Qber einen inter- 
nen AdreBbus 111 die Adressen 8 bis 15 ain die ent- 
sprechenden Adresseingdnge des FLASH 128. Der 
ASIC 150 des Sicherheitsmoduls 100 steht Qber die 
Kbntaktgruppe 101 des Interfeces 8 mil dem Dat nbus 
118, mit dem AdreBbus 117 und dem Steuerbus 115 
der Hauptplatine 9 in Kommunikationsverbindung. 
[0036] Es ist vorgesehen, daB der Prozessor 120 
Speicher 122. 124 aufweist. an welche Qber die Leitung 
138 eine Betriebsspannung Ul>i- von einer Spannungs- 
Qberwachungseinheit 12 zugefQhrt wird. Insbesondere 
eine Echtzeituhr RTC 122 und der Speicher RAM 124 
werden von einer Betriebsspannung Qber die Leitung 
138 versorgt. Die SpannungsQberwachungseinheit 
(Battery Observer) 12 liefert auBerdem ein Statussignal 
164 und reagiert auf ein Steuersignal 135. Der Span- 
nungsumschalter 180 gibt als Ausgangsspannung auf 
der Leitung 136 fur den Battery Observer 12 und Spei- 
cher 116 diejenige seiner Eingangsspannungen als 
Versorgungsspannung welter, die grOBer als die andere 
ist Durch die MOglichkeit. die beschriebene Schaltung 
in Abhangigkeit von der HOhe der Spannungen Us-t- und 
Ul>»- automatisch mit der grOBeren von beiden zu spei- 
sen. kann wdhrend des Normalbetriebs die Batterie 134 
ohne Datenverlust gewechselt werden. 
[0037] Die Batterie 134 des Sicherheitsmoduls 100 
speist in den Ruhezeiten auBerhalb des Normalbetrie- 
bes in vorerw&hnter Weise die Echtzeituhr (RTC) 122 
mit Datums und/oder Uhrzeitregistern und/oder den sta- 
tischen RAM (SRAM) 124, der sicherheitsrelevante 
Daten haft. Sinkt die Spannung der Batterie wdhrend 
des Batteriebetriebs unter eine bestimmte Grenze. so 
wird von der SpannungsQbenwachungseinheit 12 der 
Speisepunkt fQr die RTC und SRAM bis zum RQckset- 
zen mit Masse verburxJen. Die Spannung an der RTC 
und am SRAM liegt dann bei OV. Das fQhrt dazu. daB 
der SRAM 124, der z.B. wichtige kryptografische 
SchlQssel enthait. sehr schnell gelOscht wird. Gleichzei- 
tig werden auch die Register der RTC 122 gelOscht und 
die aktueile Uhrzeit und das aktuelle Datum gehen ver- 
loren. Durch diese Aktion wird verhindert. daB ein mdg- 
licher Angreifer durch Manipulation der Batterie- 
spannung die frankjermaschineninterne Uhr 122 anhatt, 
ohne daB sicherheitsrelevante Daten verioren gehen. 
Somit wird verhindert, daB der Angreifer Sicherheits- 
maBnahmen, wie beispielsweise Long Time Timer oder 
Watchdogs umgeht. Die vorgenannten SicherheitsmaB- 
nahmen werden anhand der Figuren 9 und 10 ausfQhr- 
lich eriautert. 

[0038] Die RESETEinheit 130 ist Qber die Leitung 
131 mit dem Pin 3 des Prozessors 120 und mit einem 
Pin des ASIC's 150 verbunden. Der Prozessor 120 und 
das ASIC 150 werden bei Absinken der Versorgungs- 
spannung durch eine Resetgenerierung in der RESET- 
Einheit 130 zurQckgesetzt. 

[0039] Gleichzeitig mit der Indikation der Unter- 
spannung der Batterie wechselt die beschriebene 
Schaltung in einen Selbsthaltezustand. in dem sie auch 
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bei nachtrdglicher ErhOhung der Spannung bleibt. Beim 
ndchsten Einschalten des Moduls kann der Prozessor 
den Zustand der Schaltung abfragen (Statussignal) und 
damh und/oder uber die Auswertung der Inhalte des 
gelOschten Speichers darauf schlieBen, daB die Batte- 5 
riespannung zwischenzeltlich einen bestimmten Wert 
unterschrltten hat. Der Prozessor kann die Uberwa- 
chungsschaltung zurOcksetzen. d.h. "schart" machen. 
[0040] Die Ungestecktsein-Detektionseinhert 1 3 hat 
zur Messung der Eingangsspannung eine Leitung 192. 10 
die uber den Stecker des Sicherheitsmoduls und Inter- 
lace 8. vorzugsweise uber einen Sockel auf der Mutter- 
platine 9 der Frankiermaschine mit Masse verbunden 
ist. Diese Messung dient zur statischen Ubenwachung 
des Qesteckseins und bildet die Grundlage fur eine is 
UbenA/achung auf einer ersten Stufe. Es ist vorgesehen. 
daB die Ungestecktsein-Detektionseinheit 13 Schal- 
tungsmittel fur eine rOcksetzbare Selbsthaltung auf- 
weist, wobei die Selbsthaltung ausgelOst wind, wenn der 
Spannungspegel auf einer MeBspannungsleitung 192 20 
von einem vorbestimmten Potential abweicht. Zugleich 
unrifaBt die AuswerteLogik den mit den anderen Funkti- 
onseinheiten verbundenen Prozessor 120, welcher pro- 
grammiert ist, den jeweiligen Zustand des Sicher- 
heitsmoduls 100 festzustellen und zu verdndern. Der 25 
Zustand der Selbsthaltung ist uber die Leitung 139 vom 
Prozessor 120 des Sicherheitsmoduls 100 abfragbar 
Das MeBspannungspotential auf der Leitung 192 ent- 
spricht Massepotential. wenn der Sicherheitsmodul 100 
ordnungsgemSB gesteckt ist. Auf der Leitung 139 liegt 30 
Betriebsspannungspotential. Massespannungspoten- 
tial liegt auf der Leitung 139 an, wenn der Sicherheits- 
modul 100 ungesteckt ist. Der Prozessor 120 weist 
einen funften Pin5 auf, an welchem die Leitung 139 
angeschlossen ist. um den Zustand der Ungesteckt- 35 
sein-Detektionseinheit 13 abzufragen. ob sie auf Mas- 
sepotential mit Selbsthaltung geschaltet ist. Um den 
Zustand der Selbsthaltung der Ungestecktsein-Detektl- 
onseinheit 13 uber die Leitung 137 zuruckzusetzen. 
weist der Prozessor 120 einen vierten Pin 4 auf. 40 
[0041] Weiterhin ist eine Stromschleife 18 vorgese- 
hen, die die Pins 6 und 7 des Prozessors 120 ebenfalls 
Qber den Stecker des Sicherheitsmoduls und Qber den 
Sockel auf der Hauptplatine 9 der Frankiermaschine 
miteinander verbindet. Die Leitungen an den Pins 6 und 45 
7 des Prozessors 120 sind nur bei einem an die Haupt- 
platine 9 gesteckten PSM 100 zu einer Stromschleife 18 
geschlossen. Diese Schleife bildet die Grundlage fOr 
eine dynamische Ubenwachung des Angestecktseins 
des Sicherheitsmoduls auf einer zweiten Stufe. so 
[0042] Der Prozessor 120 weist intern eine Verar- 
beitungseinheit CPU 121, eine Echtzeituhr RTC 122 
eine RAM-Einheit 124 und eine Ein/Ausgabe-Einheit 
125 auf Der Prozessor 120 ist mit Pin's 8, 9 zur Aus- 
gabe mindestens eines Signals zur Signalisierung des ss 
Zustandesdes Sicherheitsmoduls 100 ausgestattet. An 
den Pins 8 und 9 liegen l/O-Ports der Ein/Ausg£ibeEin- 
heit 125, an welchen modulinterne Signalmittel ange- 



schlossen sind. beispielsweise fart)ige Uchtemitter- 
dioden LED's 107. 108, welche den Zustand des 
Sicherheitsmoduls 100 signalisieren. Die Sicherhetts- 
module kOnnen in ihrem Lebenszyklus verschiedene 
Zustdnde einnehmen. So muB z.B. detektiert werden, 
ob das Modul guttige kryptografische Schlussel enthdit. 
Weiterhin ist es auch wichtig zu unterscheiden. ob das 
Modut funktioniert Oder defekt ist. Die genaue Art und 
Anzahl der Modulzustdnde ist von den realisierten 
Funktionen im Modul und von der Implementierung 
abhdngig. 

[0043] Anhand der Figur 5 wird das Schaltbild der 
Detektionseinheit 13 erldutert. Es ist vorgesehen. daB 
die Ungestecktsein-Detekb'onseinheit 13 einen Span- 
nungsteiler aufweist. der aus einer Reihenschaltung 
von Widerstdnden 1310, 1312, 1314 besteht und zwi- 
schen einem von einem Kbndensator 1371 abgreifba- 
ren Versorgungsspannungspotential und einem 
MeBspannungspotential auf der Leitung 192 gelegt ist. 
Die Schaltung wird uber die Leitung 136 mit der 
System- oder Batteriespannung versorgt. Die jeweilige 
Versorgungsspannung von der Leitung 136 gelangt 
uber eine Diode 1369 auf den KorxJensator 1371 der 
Schaltung. Ausgangsseitig der Schaltung liegt ein 
Negator 1320. 1398. Im Normalzustand ist der Transi- 
stor 1320 des Negators gesperrt und die Versorgungs- 
spannung wird uber den Widerstand 1398 auf der 
Leitung 1 39 wirksam, welche deshalb logisch '1 d.h. H- 
Pegel im Normalzustand fuhrt. Ein L-Pegel auf der Lei- 
tung 139 ist vorteilhaft als Statussignal fur ein Unge- 
stecktsein. weii dann in den Pin 5 des Prozessors 120 
kein Strom hineinflieBt, was die Batterielebensdauer 
erhOht. Die Diode 1369 sorgt vorzugswelse in Zusam- 
menhang mit einem Elektrolytkondensator 1371 dafur, 
daB die dem Negator vorgeschaltete Schaltung Qber 
einen relativ langen Zeitraum (>2 s) mit einer Spannung 
versorgt wird, bei der deren Funktion gewShrleistet ist. 
obwohl cfie Spannung auf der Leitung 136 bereits abge- 
schaltet wurde. 

Der Spannungsteiler 1310, 1312. 1314 weist einen 
Abgrift 1304 auf. an welchem ein Kondensator 1306 
und der nichtinvertierende Eingang eines Komparators 
1300 angeschlossen sind. Der invertierende Eingang 
des Komparators 1300 ist mit einer Referenzspan- 
nungsquelle 1302 verbunden. Der Ausgang des Kom- 
parators 1300 ist einerseits uber den Negator 
1324,1398 mit der Leitung 139 und andererseits mit 
dem Steuereingang eines Schattmittels 1322 fur die 
Selbsthaltung vertDunden. Das Schaltmittel 1322 ist 
zum Widerstand 1310 des Spannungsteilers parallel 
geschaltet und das Schaltmittel 1316 fur eine Ruckset- 
zung der Selbsthaltung ist zwischen dem Abgriff 1304 
und Masse geschaltet. Der Abgriff 1304 des Span- 
nungsteilers liegt am Verbindungspunkt der Wider- 
stande 1312 und 1314. Der zwischen dem Abgriff 1304 
und Masse geschaltete Kbndensator 1306 verhindert 
Schwingungen. Die Spannung am Abgriff 1304 des 
Spannungsteilers wird im Komparator 1300 noit der 
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Referenzspannung der Quelle 1302 verglichen. 1st die 
zu vergleichende Spannung am Abgriff 1304 Kleiner als 
die Referenzspannung der Quelle 1302. 50 bleibt der 
Komparatorausgang auf L-Pegel geschaitet und der 
Transistor 1320 des Negators ist gesperrt Dadurch 5 
erhait die Lertung 139 nun Betriebsspannungspotential 
und das Statussignal fuhrt logisch V. Der Spannungs- 
teiler ist so dimensioniert. da6 bei Massepotential auf 
der Leitung 192 der Abgriff 1304 eine Spannung fuhrt, 
welche sicher unterhalb der Schaltschwelle des Kbmpa- w 
rators 1300 liegt. Wird die Verbindung unterbrochen 
und die Leitung 192 ist nicht mehr mit Masse verbun- 
den, weil das Sicherheitsmodul 100 vom Socket auf der 
Hauplplatine 9 bzw. Interfaceeinheit 8 der Frankierma- 
schine gelOst wurde. so wird die Spannung am Abgriff 75 
1304 uber die Spannung der Referenzspannungsquelle 
1302 gezogen und der Komparator 1300 schaltet um. 
Der Komparatorausgang wird auf H-Pegel geschaitet 
und fblglich ist der Transistor 1320 durchgeschaltet. 
Dadurch wird die Leitung 139 mit Massepotential ver- 20 
bunden und das Statussignal fuhrt logisch '0. Mit Hilfe 
eines Transistors 1322, welcher dem Widerstand 1310 
des Spannungsteilers parallelgeschaltet ist, wird eine 
Sell>sthalteschaltung der Ungestecktsein-Detektions- 
einhert 13 realisiert. Der Steuereingang des Transistors 25 
1322 wird vom Komparatorausgang auf H-Pegel 
geschaitet. Dadurch schaltet der Transistor 1322 durch 
und QberbrOckt den Widerstand 1310. Infblgedessen 
wird der Spannungsteiler nur noch durch die Wider- 
stande 1312 und 1314 gebildet. Dadurch wird die 30 
Umschaltschwelle so weit erhOht, da3 der Komparator 
auch im geschalteten Zustand bleibt, wenn die Leitung 
192 wieder Massepotential fOhrt, weil das Sicherheits- 
modul wieder gesteckt wurde. 

Der Zustand der Schaltung kann uber das Signal auf 35 
der Leitung 139 vom Prozessor 120 abgefragt werden. 
Es ist vorgesehen, daB die Ungestecktsein-Detektions- 
einheit 13 als Schaltungsmittel eine Leitung 137 und ein 
Schaltmittel 1316 fur eine Rucksetzung der Selbsthal- 
tung aufweist, wobei die Rucksetzung vom Prozessor 40 
120 uber ein Signal auf der Leitung 137 auslOst^ar ist. 
Der Prozessor 120 kann jederzeit uber einen Anwen- 
derschaltkreis ASIC 150. uber eine erste Kontaktgruppe 
101. uber einen Systembus der Steuereinrichtung 1 und 
beispielsweise Qber den Mikroprozessor 91 per Modem 45 
83 den Kontakt zu einer entfernten Datenzentrale auf- 
nehmen, welche die Abrechnungsdaten uberpruft und 
gegebenenfalls weitere Daten an den Prozessor 120 
ubermittelt. Der Anwenderschaltkreis ASIC 150 des 
Sicherheitsmoduls 100 ist mit dem Prozessor 120 uber 50 
einen modullnternen Datenbus 126 verbunden. 
Der Prozessor 120 kann die Ungestecktsein-Detekti- 
onseinheit zurQcksetzen, wenn mittels der Qbermtttelten 
Daten eine Reinitialisation erfolgreich abgeschlossen 
werden konnte. Dazu wird uber das Rucksetzsignal auf 55 
der Leitung 137 der Transistor 1316 durchgeschaltet 
und somit die Spannung am Abgriff 1304 unter die 
Referenzspannung der Quelle 1302 gezogen und die 



Transistoren 1320 und 1322 sperren. Ist der Transistor 
1322 im Normalzustand gesperrt. so bilden die Wider- 
stdnde 1310 und 1312 in Serie den oberen Teil des 
oben genannten Spannungsteilers und die Umschalt- 
schwelle wird wieder auf den Ursprungszustand abge- 
senkt. 

[0044] Die Figur 6 zeigt zeigt den mechanischen 
Aufbau des Sicherheitsnruxiuls in Seitenansicht. Das 
Sicherheitsmodul ist als Multi-Chip-Modul ausgebildet, 
d.h. mehrere Funktionseinheiten sind auf einer Leiter- 
platte 106 verschaltet. Das Sichertieitsmodul 100 ist mit 
einer harten VerguBmasse 105 vergossen, wobei die 
Batterie 134 des Sicherheitsmoduls 100 auBerhalb der 
VerguBmasse 105 auf einer Leiterplatte 106 auswech- 
selbar angeordnet ist Beispielsweise ist es so mit 
einem VerguBmaterial 105 vergossen, daB Signalmittel 
107, 108 aus dem VerguBmaterial an einer ersten Stelle 
herausragen und daB die Leiterplatte 106 mit der 
gesteckten Batterie 134 seitiich einer zweiten Stelle 
herausragt. Die Leiterplatte 106 hat auBerdem Batterie- 
kontaktklemmen 103 und 104 fOr den AnschluB der 
Pole der Batterie 134. vorzugsweise auf der Bestuk- 
kungsseite oberhalb der Leiterplatte 106. Es ist vorge- 
sehen, daB zum Anstecken des postalischen 
Sicherheitsmoduls PSM 100 auf die Hauptplatine des 
Meters 1 die Kbntaktgruppen 101 und 102 unterhalb der 
Leiterplatte 106 (Leiterbahnseite) des Sicherheitsmo- 
duls 100 angeordnet sind. Der Anwenderschaitkreis 
ASIC 150 steht uber die erste Kontaktgruppe 101 - in 
nicht gezeigter Weise - mit dem Systembus einer Steu- 
ereinrichtung 1 in Kommunikationsverbindung und die 
zweite Kontaktgruppe 102 dient der Versorgung des 
Sicherheitsmoduls 100 mit der Systemspannung. Wird 
das Sicherheitsmodul auf die Hauptplatine gesteckt. 
dann ist es vorzugsweise innerhalb des Metergehduses 
dergestatt angeordnet, so daB das Signalmittel 107, 
108 nahe einer Offnung 109 ist Oder in diese hineinragt. 
Das Metergehause ist damit vorteilhaft so konstruiert. 
daB der Benutzer die Statusanzeige des Sicherheits- 
moduls trotzdem von auBen sehen kann. Die beiden 
Leuchtdioden 107 und 108 des Signalmittels werden 
uber zwei Ausgangssignale der l/O-Ports an den Pin 8, 
9 des Prozessors 120 gesteuert. Beide Leuchtdioden 
sind in einem gemeinsamen Bauelementegehduse 
untergebracht (Bicolorleuchtdiode), weshalb die 
AbmaBe bzw. der Durchmesser der Offnung relativ 
ktein bleiben kann und in der GrOBenordnung des 
Signalmittels liegt. Prinzipiell sind drei unterschiedliche 
Farben darstellbar (rot. grOn, orange). Zur Zustandsun- 
terscheidung werden die LED's auch blinkerxJ benutzt. 
so daB 8 verschiedene Zustandsgruppen unterschie- 
den werden kOnnen, die durch fblgende LED-Zustdnde 
charakterisiert werden: LED grOn leuchtend, LED rot 
leuchtend, LED Orange leuchtend, LED rot blinkend. 
LED grun blinkend, LED orange k^linkend, LED rot 
leuchtend und orange blinkend sowi LED grOn leuch- 
tend und orange blinkend. 

[0045] In der Figur 7 ist eine Draufsicht auf das 
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postalische Sicherheitsmodul dargestellt 
[0046] Die Figuren 8a bzw. 8b zeigen eine Ansicht 
des Sichertieitsmoduls jeweils von rechts bzw. von 
links. Die Lage der Kbntaktgruppen 101 und 102 unter- 
halb der Leiterpiatte 106 wird aus den Figuren 8a und s 
8b in Verbindung mit Rgur 6 deutlich. 
[0047] Gema8 einer in der Figur 9 gezeigten - sich 
selbst eriauternden - Tabelle fur Statussignalisierung 
geht eine Vielzahi mOglicher Zustandsanzeigen hervor. 
Ein grOn leuchtende LED 107 signalisiert einen OK- io 
Zustand 220, aber eine leuchtende LED 108 signalisiert 
ein n Fehler-Zustand 230 im Ergebnis eines minde- 
stens statischen Selbsttestes. Das Ergebnis eines sol- 
chen an sich bekannten Selbsttestes kann wegen der 
direkten Signal isierung uber die LED's 107.108 nicht i5 
verfaischt werden. Beispielsweise fur den Fall, da8 zwi- 
schenzeitlich die im Sicherheitsmodul gespeicherten 
Schlussel verlohren gingen, wurde die faufende Qber- 
prufung im dynamischen Betrieb den Fehler feststellen 
und als den Zustand 240 mit orange leuchtenden LED's 20 
signalisieren. Nach einem Aus/Einschalten ist ein Boo- 
ten erforderlich, da anderenfalls keine andere Operation 
mehr ausgefuhrt werden kann. Der Fall, da6 bet der 
Hersteflung die Installation eines Schlussels vergessen 
wurde. wird als Zustand 260 beispielsweise mit einer 25 
grun blinkenden LED 107 signalisiert. 
Die erste Funktionseinheit ist der Prozessor 120. Dieser 
wertet stdndig einen zweiten Tageskredltdaraufhin aus, 
ob letzterer erschdft ist. Das ist der Fall, wo ein long 
time Timer abgelaufen ist. Der long time Timer ist abge- 30 
laufen, wenn eine zu lange Zeit die Datenzentrale nicht 
mehr kontaktiert wurde, beispielsweise dazu um ein 
Guthaben nachzuladen. Als Zeltkredit konnen von der 
Datenzentrale beispielsweise 90 Tage vorgegeben und 
bei der Installation oder beim Nachladen in einen Spei- 35 
Cher 124 des SicherheitsgerStes geladen werden. Nach 
Ablauf dieser 90 Tage wird ein „LOST" -Zustand 250 
durch eine rot blinkende LED signalisiert. Der long time 
Timer ist vorzugsweise ein Ruckwdrtszdhler, der im 
Prozessor 1 20 realisiert wird. Da bei Zeitablauf der Zdh- 40 
terstand Null erreicht wird bleibt der Zustand 250 eben- 
lalls bestehen, wenn das Sicherheitsmodul vom Meter 
getrennt wurde, nachdem der „LOST"Zustand erreicht 
wurde. Wenn der letzte Kbntakt zur Datenzentrale 
solange zuruckliegt, daB dies bereits verdSchtig 45 
erscheint. wird der suspekte Zustand 270 signalisiert, 
vorzugsweise ein Ruckwdrtszdhler, der ebentalls im 
Prozessor 120 realisiert ist, der stdndig einen ersten 
Tageskredit von beispielsweise 30 Tagen daraufhin aus- 
wertet. ob letzterer erschOft ist. so 
[0048] Wertere Zustandsanzeigen fur die Zustdnde 
280 und 290 sind optional fur verschiedene weitere PrO- 
fungen vorgesehen. Dazu kOnnen weitere Funktions- 
einheiten, insbesondere ein Temperaturfuhler. im 
Sicherheitsmodul vorgesehen seln. Wurde zum Beisplel ss 
eine Temperatur uberschritten, welche zu Schdden im 
Sicherheitsmodul fuhren konnte, so kann dieser 
Zustand 280 mit den LED*s 107. 108 signalisiert wer- 



den, die rot leuchten und orange blinken und somit die 
Gesamtwirkung des abwechseind rot/orange Blinkens 
hervorrufen. Die zweite Funktionseinheit kann die Bat- 
teriespannung gegebenenfails daraufhin Qberwachen, 
ob deren Kapazitdt erschOpft ist Vorteilhaft kann ein 
Zustand 290 fur einen erforderlichen Batteriewechsel 
mit den LED's 107, 108 signalisiert werden, die grOn 
leuchten und orange blinken und somit die Gesamtwir- 
kung des abwechseind grun/orange Blinkens hervorru- 
fen. 

[0049] Die Figur 10 zeigt eine Darstellung der Pru- 
fungen im System fur statisch und dynamisch dnder- 
bare Zustdnde. Ein ausgeschattetes System im 
Zustand 200 geht nach dem Einschalten uber die Tran- 
sition Start 201 in den Zustand 210 uber, in welchem 
vom SIcherheltsmodule ein statlscher Selbsttest durch- 
gefuhrt wird sobald die Betriebsspannung aniiegt. Bei 
der Transition 202, bei der der Selbsttest ein OK bei ord- 
nungsgenndBem Ergebnis ergibt. wird der Zustand 220 
mit LED 107 grun leuchtend erreicht. Ausgehend von 
letzterem Zustand sind bei Bedarf ein wiederholter sta- 
tlscher Selbsttest, ein dynamischer Dauer-Test, minde- 
stens ein periodlscher Zeitkredit-Test und andere Teste 
durchfuhrt>ar. Eine solche Tests veranschaulichende 
Transition 203 fuhrt zuruck auf den Zustand 220 LED 
grun bei OK. Eine Transition 206 fuhrt auf den Zustand 
240 und die LED's leuchten orange bei einem wdhrend 
des dynamischen Selbsttest festgestelKen Fehler. Letz- 
terer ist durch einen Recover-Versuch evtl. durch Aus- 
schalten (Transition 211) und Wiedereinschalten des 
Gerdtes (Transition 201) behebbar. Statische Fehler 
sind at>er nicht behebbar. Vom Zustand 210, in wel- 
chem das eingeschaltete Gerat einen statischen Selbst- 
test ausfuhrt, existiert be! einem Fehler eine Transition 

204 zum Zustand 230 und die LED 108 leuchtet rot Zu 
jeder Zert, wenn sich das Gerdt im Zustand 220 (LED 
grun) befindet, kann ein on demand ausgefuhrter stati- 
scher Selbsttest bei einem Fehler Qber eine Transition 

205 zum Zustand 230 (LED rot) fuhren. Ausgehend vom 
Zustand 220 (LED grun) fuhren weitere Transitipnen 
207, 208, 209 zu den weiteren Zustdnden 270, 250, 
260. Im Zustand 270 wird mit orange blinkenden LED's 
107, 108 signalisiert, daB die Verbindung zur Datenzen- 
trale aufgenommen werden soil, da das Sicherheitsge- 
rdt bereits als suspekt gilt. Uber die Transition 212, die 
das Nachladen ergitst, wird wieder der Zustand 210 
erreicht. 

Im Zustand 250 wird mit der rot blinkenden LED 108 der 
Zustand „LOST" signalisiert. Bel der Transition 209 bei 
der ein weiterer Selbsttest des Prozessors 120 ein 
Erfordernis des Nachladens eines Schlussels ergibt, 
wird der Zustand 260 mit LED 107 grun blinkend 
erreicht. 

Ausgehend vom Zustand 220 (LED 107 grun) kOnnen 
optionale weitere Transitionen entweder zu dem weite- 
ren Zustand 280 mit rot leuchtend/orange blinkenden 
LED's Oder dem Zustand 290 mit grun leuch- 
tend/orange blinkenden LED's fuhren. Bei der ersten 
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optionalen Transition ergibt eine Teniperaturmessung 
ein Erfordernis des Auswechseins des ganzen Sicher- 
heitsmoduls. Bei der letzteren Transition ergibt eine 
Kapazitatsmessung der Batterie ein Erfordernis des 
Batteriewechselns. 5 
[0050] Die Figur 1 1 zeigt zeigt den mechanischen 
Aufbau des Sichertieitsmoduls nach einer zweiten Vari- 
ante in Seitenansidit. Das Sicherheitsmodul ist wieder 
als Muhi-Chip-Modul ausgebildet und mit einer harten 
VerguBmasse 105 vergossen. wobei die Batterie 134 10 
des Sicherheitsmoduts 100 auBerhalb der VerguB- 
masse 105 auf einer Leiterplatte 106 auswechselbar 
angeordnet ist. Aus KbstengrOnden erfblgt der VerguB 
an einer ersten Stelle so mit einem VerguBmaterial 105. 
dass das Signalmittel 107, 1 08 und die gesteckte Batte- is 
rie 134 extern vom VerguBmaterial an einer zweiten 
Stelle auf der Oberseite der Leiterplatte 106 montiert 
sind. Die Leiterplatte 106 hat wieder Batteriekontakt- 
klemmen 103 und 104 fur den AnschluB der Pole der 
Batterie 134, vorzugsweise auf der BestOckungsseite 20 
obertialb der Leiterplatte 106. Die beiden Leuchtdioden 
107 und 108 des Signalmittels sind bei dieser Variante 
separate Bauelemente. Die beiden Leuchtdioden 107 
und 108 des Signalmittels werden uber zwei Ausgangs- 
signale der 1/O-Ports an den Pin 8, 9 des Prozessors 25 
120 gesteuert. Zur Zustandsunterscheldung kdnnen die 
LED's wiederum auch blinkerxi gesteuert werden, so 
daB verschiedene Zustandsgruppen unterschieden 
werden kOnnen. Das Metergehduse ist ebenfalls wieder 
so konstruiert, daB der Benutzer die Statusanzeige des 30 
Sicherheitsmoduls von auBen, beispielsweise durch ein 
Sichtfenster oder eine Offnung 109 sehen kann. 
Es ist ebenfalls vorgesehen. dass zum Anstecken des 
postalischen Sicherheitsmoduls PSM 100 auf die 
Hauptplatine des Meters 1 die Kontaktgruppen 101 und 35 

102 unterhalb der Leiterplatte 106 des Sicherheitsmo- 
duls 100 angeordnet sind. Vorteilhaft enthdlt ein Verbin- 
der 127 die Kontaktgruppen 101 und 102. wobei ein 
Verbinder 127 auf der Leitert>ahnseite der Leiterplatte 

1 06 angeordnet ist. 40 
[0051] In der Figur 12 ist eine Draufslcht auf das 
postalische Sicherheitsmodul der zweiten Variante dar- 
gestellt Die VerguBmasse 105 umgibt quaderfOrmig 
den ersten Teil der Leiterplatte 106, wdhrend der zweite 
Teil der Leiterplatte 106 fur die beiden Leuchtdioden 45 

107 und 108, die auswechselbar angeordnete Batterie 
134 und fur den Verbinder 127 (hier nicht sichtbar) frei 
von VerguBmasse bleibt. Die BatteriekontaktMemmen 

103 und 104 werden in der Figur 12 von der Batterie 
verdeckt, sind aber ebenso wie der Verbinder 1 27 in der so 
Seitenansicht nach Fig. 13a sichtbar. 

[0052] Der VerguB des ersten Teils der Leiterplatte 
106 zeigt weder Offnungen noch Erhebungen und bietet 
somit weniger Angriffspunkte fur ein Manipulation in kri- 
mineller Absicht. Das VerguBmaterial 105 ist vorzugs- ss 
weise ein Zweikomponenten-Epoxitharz oder Polymer 
bzw. Kunststoff. Geeignet ist eine VerguBmasse aus 
STYCAST ®2651-40 FR von der Firma EMERSON & 



CUMING mit vorzugsweise CATALYST 9 als zweite 
Kbmponente. Bei der Herstellung des Vergusses wer- 
den beide Komponenten gemischt und auf beide Selten 
der Leiterplatte 106 in deren ersten Teil aufgebracht. 
Letzteres kann beispielsweise durch Eintauchen in die 
frische Mischung erfolgen. Nun kann eine - nach einem 
abschlieBend dusserem VerguB von aussen nicht sicht- 
bare - Schutz-und/oder Sensorschicht angebracht wer- 
den, welche wShrerKl des Aushdrtens des 
VerguBmaterials 105 mit letzterem erne feste Verbin- 
dung eingeht. Nach dem abschlieBenden dusseren Ver- 
guB hSrtet die Vergussmasse zu dem festen 
undurchsichtigen VerguBmaterials 105 aus. 
[0053] Die Figuren 13a bzw. 13b zeigen eine 
Ansicht des Sicherheitsmoduls der zweiten Variante 
jeweils von rechts bzw. von links. Die Lage des Verbin- 
ders 127 mit den Kontaktgruppen 101 und 102 unter- 
halb der Leiterplatte 106 wird aus den Figuren 13a und 
13b in Verbindung mit Figur 12 deutlicher sichtbar. 
Alternativ kann beispielsweise ein Verbinder 127 - in 
nicht gezeigter Weise - auf der Oberseite des zweiten 
Teils der Leiterplatte 106 angebracht werden. 
[0054] Prinzipieil kann naturlich auch ein anderes 
Signalmittel in Verbindung mit einem postalischen 
Gerdt eingesetzt werden. 

Erf indungsgemdB ist das postalische Gerdt. insbesond- 
ere eine Frankiermaschine. Das Sicherheitsmodul kann 
dann als postalisches Sicherheitsgerat PSD (POSTAL 
SECURITY DEVICE) durch die jewellige PostbehOrde 
zugelassen werden. 

[0055] Das Sicherheitsmodul bzw. PSD auch eine 
andere Bauform aufweisen. die es ermOglicht. daB es 
beispielsweise auf die Hauptplatine eines Personalcom- 
puters gesteckt werden kann, der als PC-Frankierer 
einen handelsQblichen Drucker ansteuert. 
[0056] Die Erfindung ist nicht auf die vorliegenden 
Ausfuhrungsform beschrdnkt. da offensichtlich weitere 
andere Anordnungen bzw. AusfQhrungen der Erfindung 
entwickelt bzw. eingesetzt werden kdnnen, die - vom 
gleichen Grundgedanken der Erfindung ausgehend - 
von den anliegerxien AnsprOchen umfaBt werden. 

Patentanspruche 

1 . Verfahren zum Schutz eines Sicherheitsmoduls. mit 
den folgenden Schritten: 

Ut^enwachung des Zustandes, des sachgemd- 
Ben Gebrauchs oder Austausches des Sicher- 
heitsmoduls mindestens mittels zweier 
Funktionseinheiten (120. 12, 13). 
Signalisieren mindestens eines Zustandes 
(220, 230. 240. 250. 260. 270. 280, 290) 
gesteuert mittels einer ersten Funktionseinhett 
(120) und 

LOschen von sensitiven Daten aufgrund eines 
unsachgemdBen Gebrauchs oder Austau- 
sches mindestens mittels einer zweiten Funkti- 
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onseinheit (12). 

2. Verahren. nach Ansprunch 1, gekennzeichnet 
dadurch, daB mittels der ersten Funktionseinheit 
(120) ein Zeitablauf detektiert wird und daB zur s 
Wiederherstellung der Funktionen ein weiterer Ver- 
fahrensablauf erfolgt, mit den Schriften: 

Reinitialisieren mittels der ersten Funktionsein- 
heit (120) von zuvor gelOschten sensitrven io 
Daten nach sachgemdBem Gebrauch oder 
Austausch des Sicherheltsmoduls, und 
Wiederinbetrtebnahme durch Freischalten der 
Funktionseinheiten (12, 13) des Sicherheits- 
modules (100). is 



3. Verfahren, nach Anspruch 1. gekennzeichnet 
daduich, daB mittels der zweiten Funktionseinheit 

(12) eine Uberwachung des sachgemdBen Einsat- 
zes Oder Zustandes der Batterie (134) vorgenom- 20 
men wird. 

4. Verfahren. nach Anspruch 1, gekennzeichnet 
dadurch, daB ein Sperren der Funktionalitdt mittels 
einer dritten Funktionseinheit (13) aufgrund eines 25 
Austausches des Sicherheitsnnoduls oder aufgrund 
eines ZerstOrungszustandes nach einem Angriff 
eriblgt. 

5. Verfahren, nach Anspruch 4. gekennzeichnet 30 
dadurch, daB mittels der dritten Funktionseinheit 

(13) ein ZerstOrungszustand nach einem mechani- 
schen oder chemischen Angriff detektiert wird 

6. Verfahren. nach Anspruch 2, gekennzeichnet 35 



7. 



8. Verfahren. nach Anspruch 2, gekennzeichnet 
dadurch, daB der Zeitkredit variabel und von 
Sicherheitsgerat zu Sicherheitsgerat unterschied- 
lich ist und bei der Installation in einen Speicher des so 
Sicherheitsgerates geladen werden kann. 

9. Verahren, nach Anspruch 2, gekennzeichnet 
dadurch, daB die erste Funktionseinheit (120) 
standig einen zweiten TagesKredit auswertet. wel- ss 
Cher langer als der erste Tageskredit lauft, wobei 
der ZustarxJ .,LOST signalisiert wird, wenn der 
zweite Tageskredit erschdft ist. 



10. Anordnung zur Durchfuhrung des Verfiahrens nach 
Anspruch 1, wobei ein Sicherheitsmodul, mit einer 
Logik (120, 150, 160). Mittein zur Versorgung des 
Sicherheltsmoduls mit einer Systemspannung oder 
mit einer Spannung aus einer Batterie (134) und mit 
einer Anzahl an Uberwachungsmittein ausgestattet 
ist, gekennzeichnet durch mindestens eine erste 
(120) und zweite Funktionseinheit (12) sowie durch 
Mittel zum Laden mindestens eines von der Daten- 
zentrale vorgegebenen Zertkredits und durch ein 
Signalmittel (107, 108), welches mit einer ersten 
Funktionseinheit (120) vertxinden ist. wobei das 
leaden bei der Installation und beim Nachladen in 
einen Speicher (124) des Sicherheitsgerates vor- 
genommen wird. und wobei die erste Funktionsein- 
heit (120) einen Tageskredit auf Zeitablauf 
auswertet und das Signalmittel (107. 108) 
ansteuert. mindestens um den Zeitat>lauf zu signa- 
lisieren. sowie durch Mittel der zweiten Funktions- 
einheit (12) zum LOschen von sensitiven Daten im 
Speicher (124) aufgrund eines unsachgerndBen 
Gebrauchs oder Austausches des Sicherheltsmo- 
duls. 

11. ArK}rdnung, nach Anspruch 10, gekennzeichnet 
dadurch. daB die zweite Funktionseinheit (12) eine 
Spannungsuberwachungseinheit (12) ist, welche 
Qber eine Leitung (136) mit Mittein zur Versorgung 
des Sicherheitsmoduls mit ein^ Systemspannung 
Oder mit einer Batteriespannung verbunden ist. 
wobei die die zweite Funktionseinh^t (12) Qber 
eine Leitung (138) eine Betriel3sspannung an einen 
Speicher (122. 124) abgibt 

12. Arrardnung. nachAnspruch 10. gekennzeichnet 
dadurch, daB eine dritte Funktionseinheit (13) eine 
Detektionseinheit mit Schaltungsmittein (1310, 
1316. 1322. 1324) fur eine rQcksetzbare Selbsthal- 
tung vorhanden ist. wobei die Selbsthaltung ausge- 
Idst wird. wenn der Spannungspegel auf einer 
MeBspannungsleitung (192) von einem vorbe- 
stimmten Potential abweicht und daB der mit den 
Funktionseinheiten (12. 13) vertxjndene Prozessor 
(120) programmiert ist. den jeweitigen Zustand des 
Sicherheitsmoduls (100) festzustellen und zu 
signalisieren. 

13. Anordnung. nach den AnsprOchen 10 bis 12. 
gekennzeichnet dadurch. daB der Prozessor 
(120) Speicher (122, 124) aufweist, an welche uber 
die Leitung (138) eine Betriebsspannung Ub+ von 
einer SpannungsQbenwachungseinheit (12) gefuhrt 
wird, daB der Prozessor (120) mit Systemspannung 
Us+ versorgt wird und einen vierten AnschluB (Pin 
4) aufweist, um den Zustand der Selbsthaltung der 
Detektionseinheit (13) Qber die Leitung (137) 
zuruckzusetzen und einen funften AnschluB (Pin 5) 
aufweist, an welchem die Leitung (139) ange- 



Verfahren. nach Anspruch 2, gekennzeichnet 35 
dadurch, daB die erste Funktionseinheit standig 
einen ersten Tageskredit auswertet, wobei ein 
suspekter Zustand signalisiert wird, wenn der 
Tageskredit erschOft ist. 

40 

Verfahren, nach Anspruch 6, gekennzeichnet 
dadurch, daB durch eine Kontaktaufnahme mit der 
Datenzentrale der normale Art>eitszustand wieder- 
hergestellt werden, ohne daB eine Inspektion vor 
Ort durch einen Service erforderlich wird. 45 
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schlossen ist. urn den Zustand der Detektionsein- 
heit (13) abzufragen. 

14. Anordnung, nach einem der Anspruche 10 bis 13. 
gekennzeichnet dadurch. daB das Sicherheits- s 
modul (100) mit einer harten VerguBmasse (105) 
vergossen ist, da6 die Batterie (134) des Sicher- 
heitsmoduls (100) auBerhafb der VerguBmasse 
(105) auf einer Leiterplatte (106) auswechselbar 
angeordnet ist. daB die Leiterplatte (106) die Batte- io 
riekontaktklemmen (103 und 104) fur den AnschluB 
der Pole der Batterie (134) und eine zweite Kontakt- 
gruppe (102) zur Versorgung des Sicherheitsmo- 
duls (100) mit der Systemspannung aufweist und 
daB die VerguBmasse mit Mitteln ausgestattet sind. is 
welche des Sicherheitsmodul (100) vor einem 
Angriff warnen und ggf. schutzen sowie daB minde- 
stens eine der Kbntaktgruppen (101. 102) zur stati- 
schen und dynamischen Obenwachung des 
Angestecktseins und des Angegriffenseins des 20 
Sicherheltsmoduls (100) ausgeblkJet Ist. 

15. Anordnung, nach einem der Anspruche 10 bis 14. 
gekennzeichnet dadurch, daB der Prozessor 
(120) des Sicherheitsmoduls mit Anschlussen 2s 
(Pin's 8, 9) zur Ausgabe mindestens eines Signals 
zur Signalisierung des Zustandes des Slcherheits- 
nxxluls (100) ausgestattet ist. 

16. Anordnung. nach Anspruch 15, gekennzeichnet 30 
dadurch, daB an den IAD-Ports einer Ein/Ausgabe- 
Einheit (125) des Prozessors (120) modulinterne 
Signalmittet (107,108) angeschlossen sind. 
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(57) Die Erfindung betrifft ein Verfahren zum Schutz 
eines Sichertiettsmoduls mit Zustanduberwachung, 
Uberwachung des sachgennaBen Gebrauchs Oder Aus- 
tausches des Sicherheitsmoduls mittels einer ersten 
(120), zweiten (12) und dritten Funl<tionseinheit (13), 
Signalisieren mindestens eines Zustandes (220, 230, 
240, 250, 260, 270, 280, 290) gesteuert mittels der 
ersten Funktionseinhert (120) und LSschen von sensiti- 
ven Daten aufgrund eines unsachgemaBen Gebrauchs 
Oder Austausches mindestens mittels der zweiten 
Funktionseinheit (12). Weiterhin ist ein Sperren der 
Funktionalitat mittels der dritten Funktionseinheit (13) 
aufgrund eines Austausches des Sicherheitsmoduls, 
Reinitialisieren der zuvor geloschten sensitiven Daten 
nach sachgemaBem Gebrauch Oder Austausch des 
Sicherheitsmoduls (100) und Wiederinbetriebnahme 
durch Freischalten der Funktionseinheiten des Slcher- 
heitsmodules. 

Die Anordnung zur Durchfuhrung des Verfahrens, weist 
Mrttel zum Laden mindestens eines von der Datenzen- 
trale vorgegebenen Zeitkredits und eine mit einem 
Signalmittel (107, 1 08) verbundene erste Funktionsein- 
heit (120) auf, wobei das Laden bei der Installation und 
beim Nachladen in einen Speicher (124) des Sicher- 
heitsgerates vorgenommen wird, und wobei di erste 
Funktionseinheit (120) einen Tageskredit auf Zeitablauf 
auswertet und das Signalmittel (107, 108) ansteuert, 
mindestens um den Zeitablauf zusignalisieren. Der 
Sicherheitsmodul kann verschiedene Zustande signali- 



sieren. So kann beispielsweise unterschieden werden, 
ob der letzte Kontakt zur Datenzentrale sehr lange 
zurOckliegt. 
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